Зкзі - це що? Засоби криптографічного захисту інформації
термін "криптографія" походить від давньогрецьких слів «прихований» і «пишу». Словосполучення висловлює основне призначення криптографії - це захист і збереження таємниці переданої інформації. Захист інформації може відбуватися різними способами. Наприклад, шляхом обмеження фізичного доступу до даних, приховування каналу передачі, створення фізичних труднощів підключення до ліній зв`язку і т. Д.
мета криптографії
На відміну від традиційних способів тайнопису, криптографія передбачає повну доступність каналу передачі для зловмисників і забезпечує конфіденційність і автентичність відбитку інформації за допомогою алгоритмів шифрування, які роблять інформацію недоступною для стороннього прочитання. Сучасна система криптографічного захисту інформації (СКЗИ) - це програмно-апаратний комп`ютерний комплекс, що забезпечує захист інформації за такими основними параметрами.
- Конфіденційність - Неможливість прочитання інформації особами, які не мають відповідних прав доступу. Головним компонентом забезпечення конфіденційності в ЗКЗІ є ключ (key), що представляє собою унікальну буквено-числову комбінацію для доступу користувача в певний блок ЗКЗІ.
- цілісність - Неможливість несанкціонованих змін, таких як редагування і видалення інформації. Для цього до вихідної інформації додається надмірність у вигляді перевірочної комбінації, що обчислюється за криптографічним алгоритмом і залежить від ключа. Таким чином, без знання ключа додавання або зміна інформації стає неможливим.
- аутентифікація - Підтвердження достовірності інформації та сторін, її відправляють і отримують. Передана каналами зв`язку інформація повинна бути однозначно аутентифицироваться за змістом, часу створення і передачі, джерела і одержувача. Слід пам`ятати, що джерелом загроз може бути не тільки зловмисник, але і сторони, які беруть участь в обміні інформацією при недостатньому взаємній довірі. Для запобігання подібних ситуації ЗКЗІ використовує систему міток часу для неможливості повторної або зворотного відсилання інформації та зміни порядку її проходження.
- авторство - Підтвердження і неможливість відмови від дій, скоєних користувачем інформації. Найпоширенішим способом підтвердження автентичності є електронний цифровий підпис (ЕЦП). Система ЕЦП складається з двох алгоритмів: для створення підпису і для її перевірки. При інтенсивній роботі з ЕКЦ рекомендується використання програмних засвідчувальних центрів для створення і управління підписами. Такі центри можуть бути реалізовані як повністю незалежне від внутрішньої структури засіб ЗКЗІ. Що це означає для організації? Це означає, що всі операції з електронними підписами обробляються незалежними сертифікованими організаціями та підробка авторства практично неможлива.
алгоритми шифрування
На поточний момент серед ЗКЗІ переважають відкриті алгоритми шифрування з використанням симетричних і асиметричних ключів з довжиною, достатньою для забезпечення потрібної криптографічного складності. Найбільш поширені алгоритми:
- симетричні ключі - російський Р-28147.89, AES, DES, RC4;
- асиметричні ключі - RSA;
- з використанням хеш-функцій - Р-34.11.94, MD4 / 5/6, SHA-1/2.
Багато країн мають свої національні стандарти алгоритмів шифрування. У США використовується модифікований алгоритм AES з ключем довжиною 128-256 біт, а в РФ алгоритм електронних підписів Р-34.10.2001 і блоковий криптографічний алгоритм Р-28147.89 з 256-бітовим ключем. Деякі елементи національних криптографічних систем заборонені для експорту за межі країни, діяльність з розробки ЗКЗІ вимагає ліцензування.
Системи апаратної криптозахисту
Апаратні ЗКЗІ - це фізичні пристрої, що містять в собі програмне забезпечення для шифрування, записи і передачі інформації. Апарати шифрування можуть бути виконані у вигляді персональних пристроїв, таких як USB-шифратори ruToken і флеш-диски IronKey, плат розширення для персональних комп`ютерів, спеціалізованих мережевих комутаторів і маршрутизаторів, на основі яких можлива побудова повністю захищених комп`ютерних мереж.
Відео: "пізнавальний фільм": Захист інформації
Апаратні ЗКЗІ швидко встановлюються і працюють з високою швидкістю. Недоліки - висока, в порівнянні з програмними і програмно-апаратними ЗКЗІ, вартість і обмежені можливості модернізації.
Також до апаратних можна віднести блоки ЗКЗІ, вбудовані в різні пристрої реєстрації і передачі даних, де потрібно шифрування і обмеження доступу до інформації. До таких пристроїв належать автомобільні тахометри, здатні фіксувати параметри автотранспорту, деякі типи медичного обладнання тощо Для повноцінної роботи таким систем потрібна окрема активація ЗКЗІ модуля фахівцями постачальника.
Системи програмної криптозахисту
Програмні ЗКЗІ - це спеціальний програмний комплекс для шифрування даних на носіях інформації (Жорсткі і флеш-диски, карти пам`яті, CD / DVD) і при передачі через Інтернет (електронні листи, файли у вкладеннях, захищені чати і т.д.). Програм існує досить багато, в т. Ч. Безкоштовних, наприклад, DiskCryptor. До програмних ЗКЗІ можна також віднести захищені віртуальні мережі обміну інформацією, що працюють «поверх Інтернет» (VPN), розширення Інтернет протоколу HTTP з підтримкою шифрування HTTPS і SSL - криптографічний протокол передачі інформації, що широко використовується в системах IP-телефонії та інтернет-додатках.
Програмні ЗКЗІ в основному використовуються в мережі Інтернет, на домашніх комп`ютерах і в інших сферах, де вимоги до функціональності і стійкості системи не дуже високі. Або як у випадку з Інтернетом, коли доводиться одночасно створювати безліч різноманітних захищених з`єднань.
Програмно-апаратна криптозащита
Поєднує в собі кращі якості апаратних і програмних систем ЗКЗІ. Це найнадійніший і функціональний спосіб створення захищених систем і мереж передачі даних. Підтримуються всі варіанти ідентифікації користувачів, як апаратні (USB-накопичувач або смарт-карта), так і «традиційні» - логін і пароль. Програмно-апаратні ЗКЗІ підтримують всі сучасні алгоритми шифрування, володіють великим набором функцій по створенню захищеного документообігу на основі ЕЦП, всіма необхідними державними сертифікатами. Установка ЗКЗІ проводиться кваліфікованим персоналом розробника.
Компанія «крипто-ПРО»
Один з лідерів російського криптографічного ринку. Компанія розробляє весь спектр програм по захисту інформації з використанням ЕЦП на основі міжнародних і російських криптографічних алгоритмів.
Програми компанії використовуються в електронний документообіг комерційних і державних організацій, для здачі бухгалтерської та податкової звітності, в різних міських та бюджетних програмах і т. Д. Компанією видано понад 3 млн. Ліцензій для програми КріптоПро CSP і 700 ліцензій для засвідчувальних центрів. «Кріпто-ПРО» надає розробникам інтерфейси для вбудовування елементів криптографічного захисту в свої програмні продукти і надає весь спектр консалтингових послуг зі створення ЗКЗІ.
криптопровайдер КріптоПро
При розробці ЗКЗІ КріптоПро CSP використовувалася вбудована в операційну систему Windows криптографічний архітектура Cryptographic Service Providers. Архітектура дозволяє підключати додаткові незалежні модулі, що реалізують необхідні алгоритми шифрування. За допомогою модулів, що працюють через функції CryptoAPI, криптографічний захист можуть здійснювати як програмні, так і апаратні ЗКЗІ.
носії ключів
Як особистих ключів можуть використовуватися різні апаратні засоби, такі як:
Відео: Безкоштовний відеокурс: секрети «КріптоПро УЦ» (ч.2)
- смарт-карти і зчитувачі;
- електронні замки і зчитувачі, що працюють з пристроями Touch Memory;
- різні USB-ключі і змінні USB-накопичувачі;
- файли системного реєстру Windows, Solaris, Linux.
функції криптопровайдера
ЗКЗІ КріптоПро CSP повністю сертифікована ФАПСИ і може використовуватися для:
Відео: Тахограф на вантажівку від ТОВ "гугол"
1. Забезпечення юридичної сили і авторизації електронних документів за допомогою створення і перевірки ЕЦП відповідно до російських стандартів шифрування.
2. Повної конфіденційності, автентичності та цілісності даних за допомогою шифрування і імітаційної захисту згідно російським стандартам шифрування і протоколу TLS.
3. Перевірки і контролю цілісності програмного коду для запобігання несанкціонованого зміни і доступу.
4. Створення регламенту захисту системи.